Encontrando .htaccess y .htpasswd antiguos con Google Hacking

Últimamente me encuentro con perlas bastantes interesantes cuando juego con Google Hacking, porque en realidad es un auténtico juego. Esta mañana, mientras monitoreaba algunos sistemas, me acordé de que hay muchos usuarios, incluso sysadmins, que siguen usando extensiones del tipo old o bak.

Lo malo no usar este tipo de extensiones, lo malo es dejarlos accesibles desde Internet. Hay un caso muy curioso que es el de los archivos .htaccess y .htpasswd que como bien sabéis sirven para asegurar nuestro servidor Web, controlando accesos entre otras cosas.

Pues bien, «trasteando» con Google encuentro cosas sustanciosas al buscar versiones «old» de estos archivos.

Estaba claro, probemos ahora con .htaccess…

Curioso!!! Ahora probemos a buscar archivos «antiguos» de htaccess y htpasswd, usando el tipo de fichero «old» con el operador filetype de Google, de la siguiente forma;

filetype:old inurl:».htpasswd»

Sin comentarios. Muchos serán antiguos usuarios… o no.

Lo dicho, no dejéis archivos «antiguos» publicados en Internet, menos aún si contienen información de usuarios y contraseñas, aunque sean hashes.

Saludos!